找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
简阳论坛»网站首页 幸福生活 便民服务 木马万能查杀法
返回列表 发新帖
查看: 1426|回复: 4

[同城生活] 木马万能查杀法

[复制链接]
魔傀じ酒仙

0

主题

88

回帖

562

积分

上士

UID
1600
回帖
88
主题
0
积分
562
阅读权限
70
注册时间
2006-8-20
最后登录
2006-11-20
在线时间
21 小时
发表于 2006-9-16 23:37 | 显示全部楼层 |阅读模式
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法。只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在
  每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。
  下面具体谈谈“木马”是怎样自动加载的。在Win.ini文件中,在[WINDOWS]下面,“run=”和 “load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面应该什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成 command.exe(真正的系统文件为command.com)文件,如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。
  在System.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在“HKEY-
  LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
  知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接 将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了
回复

使用道具 举报

不是成都人

960

主题

3万

回帖

12万

积分

副管理员

UID
10
回帖
36027
主题
960
积分
122370
阅读权限
245
注册时间
2006-5-20
最后登录
2021-4-25
在线时间
5602 小时
发表于 2006-9-17 11:06 | 显示全部楼层
有用,现在的木马花样多,不易被删除~~
我家住在黄土高坡..
大风从坡上刮过..........
不管是.......李宇春........... 还是曾轶可...
都是我的哥,,,我的哥,,,,,,,,,,,,,,,, .
回复

使用道具 举报

开水

45

主题

6245

回帖

2万

积分

荣誉管理员

UID
803
回帖
6245
主题
45
积分
22024
阅读权限
230
注册时间
2006-6-28
最后登录
2016-4-15
在线时间
1218 小时
发表于 2006-9-17 13:51 | 显示全部楼层
不错哈  给你顶3天
雪碧给人清凉,
可乐使人刺激,
咖啡让人清醒,
开水。。。。。。
开水虽无味,
但它给人一种朴实和真正的畅快。。。。。。
回复

使用道具 举报

开水

45

主题

6245

回帖

2万

积分

荣誉管理员

UID
803
回帖
6245
主题
45
积分
22024
阅读权限
230
注册时间
2006-6-28
最后登录
2016-4-15
在线时间
1218 小时
发表于 2006-9-17 13:52 | 显示全部楼层
晕了 成了实习斑竹 不能顶三天
雪碧给人清凉,
可乐使人刺激,
咖啡让人清醒,
开水。。。。。。
开水虽无味,
但它给人一种朴实和真正的畅快。。。。。。
回复

使用道具 举报

24米的阳光

1510

主题

8万

回帖

27万

积分

管理员

UID
2102
回帖
86321
主题
1510
积分
275253
阅读权限
255
注册时间
2006-9-22
最后登录
2025-5-31
在线时间
13156 小时
发表于 2006-10-1 10:11 | 显示全部楼层
zhi支持一下!
大道至简,阳光致远
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

不良和违法信息举报邮箱:80411235@qq.com|营业执照|网站法律顾问|Archiver|手机版|小黑屋|简阳论坛 ( 蜀ICP备2021016404号-1 )

关注简阳论坛
官方公众号

GMT+8, 2025-6-16 18:45 , Processed in 0.036882 second(s), 22 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表